I ricercatori di Unit 42 di Palo Alto Networks spesso effettuano indagini su quelle che vengono definite fonti non tradizionali, che possono includere marketplace e siti underground, dai forum su Tor ai canali Telegram e altro. Uno dei casi recentemente presi in esame riguarda un autore di minacce chiamato BelialDemon, membro di diversi forum.
Nel febbraio 2021, BelialDemon ha pubblicizzato un nuovo malware-as-a-service (MaaS) chiamato Matanbuchus Loader, e offerto un prezzo di noleggio iniziale di 2.500 dollari. I malware loader sono software pericolosi che generalmente rilasciano malware di secondo livello dalle infrastrutture di comando e controllo (C2). Matanbuchus possiede le seguenti capacità:
– Lanciare un file .exe o .dll in memoria.
– Sfruttare schtasks.exe per aggiungere o modificare le pianificazioni delle attività.
– Avviare comandi PowerShell personalizzati.
– Sfruttare un eseguibile standalone per caricare la DLL nel caso in cui l’attaccante non avesse modo di farlo.
Numerose organizzazioni sono state colpite da Matanbuchus, tra cui una grande università e una scuola superiore negli Stati Uniti, e un’organizzazione high-tech in Belgio.
Dopo aver osservato BelialDemon operare in forum underground ben conosciuti, il team ha notato un’attinenza con un particolare tema biblico: il nome, Belial, insieme a quello del nuovo loader, Matanbuchus, derivano dall’Ascensione di Isaia, un testo apocrifo dell’Antico Testamento: “E Manasse deviò il suo cuore per servire Belial, l’angelo di illegalità, che è il principe di questo mondo, Belial, il cui nome è Matanbuchus”. Senza dubbio un tema appropriato per le loro operazioni.
